La cartographie de données est un aspect critique et commun du processus d’ ‘Identification’ des données électroniques en matière d’administration de la preuve électronique. En bref, une cartographie de données est une description de haut niveau des types et de l'emplacement des documents et des informations produites et stockées par une organisation. Une cartographie de données simplifie grandement les processus de préservation et de la collecte pour une équipe de juristes impliquée dans des litiges. Ça, c’est le bon côté de la chose.

Le mauvais côté de la chose est la quantité de temps, d'efforts et d'argent qui peuvent être nécessaires pour accomplir le travail. En plus, l'affectation de ressources qui sont nécessaires pour la conservation des données de la cartographie actuelle perpétuellement, ceci dans le but de répondre aux besoins de futurs litiges, si votre organisation choisit d'adopter cette approche à la cartographie de données.

Les règles fédérales américaines des procédures civiles, la règle 26(a) (1) (A) exige que chaque partie doive fournir « une copie – ou une description par catégorie et par emplacement – de tous les documents (ou) informations stockées électroniquement ». La même règle, au paragraphe (f), spécifie que les parties se rencontrent au sein de 99 jours suivants l'apparition des litiges afin de planifier l’administration de la preuve électronique. Puisqu'une liste (ou une cartographie de données) est beaucoup plus facile à produire que les « copies » réelles, les cartographies de données sont maintenant la norme dans un litige américain. Par le fait même, les 99 jours ne sont habituellement pas suffisants pour effectuer la recherche et créer une cartographie de données précises pour une grande organisation; cette exigence a tendance à conduire la création des cartographies sur une base de préparation des litiges pour ces organismes, plutôt qu’une réaction à un litige spécifique.  

Au Canada, nous n'avons pas de telle règle, bien que le ‘Discovery Plan’ de la règle 29.1.03 (2) des règles de procédure civile de l'Ontario exige l'accord sur l'administration de la preuve électronique avant (a) les 60 jours suite à la clôture des plaidoiries... et (b) les tentatives d'obtenir des éléments de preuve (à moins d'un autre accord entre les parties). Alors qu'il n'y a aucune référence spécifique à une cartographie de données, les délais extrêmement serrés et associés nécessitant la définition et la délivrance d’une rétention juridique font que la création d'une cartographie de données organisationnelle, la priorité pour une équipe juridique dans une affaire qui potentiellement se base sur les données électroniques.

Donc, quelles sont les implications pour la création d'une cartographie de données? La réponse est... cela dépend. Il y a en réalité deux approches distinctes à la cartographie de données, plus ou moins selon le profil juridique de l'organisation.. 

Cartographie de données dynamique

L'approche actuelle adoptée par les plus grandes multinationales qui sont systématiquement impliquées dans des litiges est la création d'une cartographie de données organisationnelle englobante, appuyée ad infinitum par des ressources spécialisées, à H&A, nous avons inventé une « cartographie de données dynamique ». La cartographie de données dynamiques permet à une organisation de rapidement et efficacement répondre aux nouvelles demandes de rétentions de données avec une perturbation minimale aux affaires de l'organisation. Les inconvénients de cette approche sont les coûts et le degré de difficulté.

Selon les termes de Bruce Philips, vice-président, sécurité de l’information à la Financière Fortune 500 Fidelity National, (dynamique) “la cartographie de données n’est pas pour les cœurs sensibles” . Comme toute initiative majeure dans une grande multinationale, recevoir du financement pour un projet de cartographie de données peut être presque aussi difficile que la technique d'exécution. Dans le cas de la Financière Fidelity National, plusieurs facteurs communs à d'autres services financiers et à d’autres entreprises d'assurance ont compliqué l’affaire. Une récente acquisition signifiait que dans l'organisation, personne n'avait une bonne idée sur tous les systèmes d'information de l'entreprise utilisés ou qui « possédaient » chaque système. En outre, l'entreprise exploite dans une industrie réglementée qui exige la rétention de beaucoup de papier, et de systèmes administrant ce papier.

Bien que conduit par l'exigence légale de répondre rapidement aux demandes d’administration de la preuve, la financière Fidelity National conclue qu'un projet de cartographie de données qui décrit l'ensemble de la structure ministérielle, ainsi que de rapporter les relations hiérarchiques et d’identifier les dépositaires spécifiques et leurs gestionnaires a tenu de grandes valeurs potentielles pour la continuité des groupes TI et des groupes affaires. En fait, l'inclusion de ces groupes s'est avérée essentielle pour la réalisation de ce projet de deux ans et demi. "Si vous n'avez pas de multiples constituants, ne le tentez pas. C'est mon conseil à quiconque," explique Philips. Il poursuit en disant, "le plus difficile à vendre, c’est aux TI parce que... ce sont des données électroniques. Donc, qui va être les plus durement touchées dans le maintien et la valorisation de la cartographie de données? Vous allez devoir leur trouver une plus-value." 

Les commentaires de Monsieur Philip sont repris par Ganesh Vednere, un conseiller en gestion de contenu et de documents avec Capgemini Financial Services, dans un article pour AIIM; il est surpris de voir que les cartographies de données terminées sont souvent reléguées vers les départements juridiques au lieu d'être largement utilisées par tous les autres secteurs . Vednere suggère que les cartographies "peuvent être utilisé pour tout, de la rationalisation de portefeuille TI à la gestion des actifs TI et l'amélioration du processus opérationnel" et qu'il "incombe à l'équipe de la cartographie de données à entreprendre... pour faire connaître, communiquer et démontrer comment elle peut être et est utile aux différentes fonctions au sein de l'organisation. " ” 

Cartographie de données pour un cas spécifique

Malheureusement, sauter la phase de cartographier les données ou de se lancer dans un projet de deux ans n'est pas des options pour la plupart des entreprises lorsqu'ils sont confrontés dans un litige. C'est là que le deuxième type de la cartographie de données entre en jeu – la cartographie de données propres à chaque cas. Cette approche de cartographie est beaucoup plus pragmatique dans sa nature et est probablement plus adapté à une organisation qui possède des ressources limitées et une faible probabilité d'avenir ou plusieurs litiges sur laquelle les coûts de cartographie de données dynamiques sont alloués. Une cartographie de données spécifiques à un cas porte sur les dépositaires d'information et les référentiels qui sont censés et susceptibles d'être pertinents au présent cas, plutôt qu'à cartographier en profondeur l'ensemble de l'organisation.

En Ontario, les rétentions de données pour litiges et les plans d’administration de la preuve s'appuient systématiquement sur les cartographies de données pour limiter la portée potentielle de découverte et de la conservation des données. Une cartographie de données superficielles a peu ou pas de valeur si elle ne reflète pas la structure réelle de rétention des données dans l'organisation. C'est donc d’une importance capitale, de faire des efforts maximaux dans la construction d'une cartographie de données propres à chaque cas, si une organisation devait choisir d'adopter cette approche à la cartographie de données. 

Composantes d’une cartographie des ISE

À ce stade, il convient de reconnaître que le terme “cartographie de données” est un terme impropre; très peu de cartographie sera formatée en diagramme. Au lieu de cela, une cartographie de données prend généralement la forme d'une série de listes et de tableaux, souvent en Microsoft Excel ou Word même, qui peut contenir des liens vers divers niveaux de sous-listes. Normalement, la complexité de l'ensemble de la "cartographie" correspondra à la taille et la portée de l'organisation et à sa configuration système TI et/ou son historique.

Une cartographie de données des ISE typique comprendra les éléments suivants :

1. 1. Un catalogue de logiciels indépendants de haut niveau incorporant les types des ISE qui sont produit par l'organisation, telle que des rapports, des documents, des courriels, des horaires, des plans, etc.
2. 2. Une identification de l'ensemble des ISE structuré, semi-structurées et non structurée qui contient des documents commerciaux.
3. 3. Une liste de qui gère les différents types d'informations (cela peut être subdivisé en départements, si cela a un sens logique)..
4. 4. Une liste des TI et des directeurs commerciaux susceptibles d'être responsables des systèmes et des informations pertinentes sur le stockage des ISE.
5. 5. Les politiques connexes des ISE, tels que la rétention de document, la sauvegarde et les politiques d'utilisation acceptable, ainsi que les informations sur les noms, titres et coordonnées de la personne ou les personnes chargées de l'application de ces politiques.
6. 6. Une évaluation de l'accessibilité des différents types d'information, dans le but d'identifier les sources d’ISE qui peuvent être trop difficile ou onéreux d'accès afin d'appuyer les revendications sur l’accessibilité des données.

Bâtir une cartographie de données des ISE

Donc, où commencer? Les conseillers de Craig Ball Consultant affirment que "où" importe moins que "quand et avec qui" ; en d'autres termes, commencer. Il sera utile, cependant de prioriser vos efforts par premièrement l’identification et l’analyse des stockages de données et de systèmes régulièrement consultées par les dépositaires clés que vous avez identifiés comme pertinent aux questions soulevées.

Voici les étapes normalement impliquées dans la construction d'une cartographie de données propres à chaque cas.

1. 1. Obtenir l'appui de la haute direction – ce qui peut être critique particulièrement dans le cas des grandes entreprises où les défis de la cartographie de données sont proportionnellement de longues haleines.
   
2. 2. Rencontrer toute l'équipe juridique (incluant les conseillers juridiques interne et externe, les experts en matière d’administration de la preuve numérique, les représentants des TI, les représentants de la sécurité de l’information, les gestionnaires de documents, etc.) afin de :
   
   1. a. définir l'environnement actuel de litiges, les processus, les objectifs et les enjeux de la mise en œuvre;
      
   2. b. définir la portée de la cartographie de données en fonction des exigences du cas;
      
   3. c. définir la portée du projet en termes de systèmes, des données structurées, des données non structurées et divers médias afin de fournir une orientation claire pour la collecte de données et pour le processus d'entrevue; et
      
   4. d. spécifier le niveau de détail requis pour répondre aux exigences des diverses parties concernées. Il est à noter que le niveau de détail doit être ajusté pour les différentes parties de la feuille de données, basé sur les principaux secteurs de risque. Par exemple, le niveau de détail du système de courrier électronique peut être beaucoup plus grand que le niveau de détail des systèmes de base de données d'entreprise, si le litige concerne principalement les communications entre les individus.
3. 3. Mener des entrevues avec le personnel clé
   
4. 4. Entrevue avec le TI et les représentants de secteur afin de comprendre et de valider toutes les sources potentielles de données.
   
5. 5. Préparer un projet de rapport de cartographie de données.
   
6. 6. Examiner le projet de rapport, ajuster les niveaux de détail et la portée et produire le rapport final de cartographie des données.
   
7. 7. Présenter le rapport de la cartographie de données à la haute direction et à tous les membres de l'équipe juridique.

Conclusion

Si votre organisation entrevois la cartographie de données sur une base dynamique ou propre à chaque cas, les aspects rébarbatifs de notre analogie “Le Bon, La Brute et le Truand“ ne devraient pas vraiment être regardés à la négative, seulement le prix de faire des affaires. Les “bons“ avantages de la cartographie de données dynamiques et propres à chaque projet l'emporteront presque toujours sur les “mauvais“ frais de chaque projet, tant que la cartographie de données est effectuée avec une forte orientation de gestion de projet. Et pour les sociétés ou les industries litigieuses, le “truand“ sont, la souffrance à court terme versus les frais à long terme de leurs processus de cartographie dynamique de données sera finalement remboursée dans un certain nombre de différentes méthodes pour leur organisation.

À H&A eDiscovery, nous avons une expérience avec des projets de cartographie de données de toutes les formes et tailles. Si votre organisation a besoin d'assistance pour la réalisation d’une cartographie de données en réponse à une affaire en instance ou dans le contexte plus large d'un projet de préparation de litiges dynamique, veuillez communiquer avec Oleh Hrycko au 416-233-5577 pour une consultation gratuite.

i.        Data Mapping: How to Make It Work. Interview with Bruce Philips, Vice President, Information Security Manager at Fidelity National Financial by Jane Goodchild, Senior Editor, CSOonline, August 11, 2009. http://www.csoonline.com/article/499439/data-mapping-how-to-make-it-work. 

ii.     The Quest for eDiscovery: Creating a Data Map. Ganesh Vednere, AIIM Infonomics Website - November/December 2009. http://www.aiim.org/infonomics/quest-for-ediscovery-creating-data-map.aspx

ii.     Craig Ball, in his blog site, Ball In Your Court. September 23, 2011. http://ballinyourcourt.wordpress.com/2011/09/23/